Hackers estão visando aplicações Amazon, Zillow, Lyft e Slack NodeJS usando uma nova vulnerabilidade chamada “confusão de dependência” para roubar arquivos de senha Linux e Unix e abrir shells reversos. Os invasores criam pacotes utilizando os mesmos nomes dos repositórios ou componentes internos de uma empresa e os hospedam em repositórios públicos, incluindo npm, PyPI e RubyGems. Dessa forma, os gerenciadores de dependência dessas empresas acabam usando os pacotes disponíveis no repositório público ao invés dos pacotes internos da empresa ao fazer o build das aplicações. As informações são do site Bleeping Computer.
